安全使用 QR code
日期 : 2022年1月18日
機構 : 香港電腦保安事故協調中心(HKCERT)
作者 : 香港電腦保安事故協調中心(HKCERT)
QR code,又稱作二維碼,已成為大家日常生活的一部分。譬如,消費方面,四間能用上香港特區政府消費券的電子支付平台中,就有三間支援QR code支付;防疫方面,不同場所都張貼QR code方便市民記錄到訪;甚至在餐廳,都會採用QR code來點餐。雖然QR code大大方便了我們的生活,但大家也應小心謹慎使用,留意當中的保安風險。
QR code是什麼?
QR code由日本汽車零件業者Denso Wave公司於1994年發明,是Quick Response Code的縮寫。它使用四種標準化編碼模式來存儲數據,較普通一維條碼(barcode)更能快速讀取,並擁有更大的資料儲存量。QR code在2000年6月獲國際標準組織 (ISO) 訂立ISO/IEC 18004的標準,至今已廣泛應用於讀取流動裝置內的簡單數據。
QR code的應用及保安隱患
由於QR code的製作成本較低,加上智能流動裝置系統預先設定了QR code掃瞄器,所以成功令其獲各行各業應用。今次我們會探討四種常見的應用:流動支付、網站瀏覽、賬戶驗證及訊息儲存。
-
流動支付
香港大部分的主要流動支付平台都會支持QR code付款或收款。一般來說,手機支付分為「主動掃碼」及「被動掃碼」兩種方式。前者需要用戶先掃瞄商戶的QR code,再輸入金額及支付密碼便可以完成支付,後者則由商戶掃瞄用戶流動裝置的QR code來進行支付。無論是「主動掃碼」或「被動掃碼」,用戶均需要開啟相關支付程式來完成操作。
「主動掃碼」又分為「動態型」及「靜態型」。「動態型」下,進行每單交易時,QR code都會自動刷新,而「靜態型」則不會。內地就曾有商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失。
-
網頁瀏覽
商戶會用QR code儲存官方網址,當用戶掃瞄QR code,其裝置便會自動跳到商戶的網站。有部分飲食機構亦改用QR code連接至點餐平台網站,網站能記錄使用者的枱號及餐點,方便用戶自助點餐。其他例子包括調查機構會使用QR code儲存問卷調查網址,讓用戶以流動裝置回答問卷,或引導至應用程式商店下載應用程式。
由於用QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,然後透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等。
-
帳戶驗證
一些通訊軟件會以QR code認證來核實登錄者是否該帳號的持有人。例如用家在電腦登入網頁版時,系統會要求登入者用已登入之手提電話掃瞄網頁版上的QR code作認證。不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了那些QR code,黑客便能取得受害人帳戶。
-
訊息儲存
QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險。
使用QR code的保安小貼士
-
流動支付
- 以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄;
- 切勿隨便向他人透露流動支付服務所產生的QR code;
- 商戶應採用動態QR code來進行流動支付, 動態QR code在完成交易後就會自動刷新,較靜態QR code更安全及難以被掉換。
-
網頁瀏覽
- 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code;
- 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後,每次掃瞄QR code都會彈出對應的URL,待你確認才會連接到該網站;
- 使用防毒軟件上的QR code 掃瞄器功能,讓防毒軟件預先檢查URL是否安全才開啟網頁;
- 商戶應該定期檢視QR code是否有異常,用戶也要留意QR code 有否被改動或被貼上另一個 QR code;
- 餐廳若是使用QR code點餐平台,用戶切勿將點餐QR code上載到社交平台。
-
帳戶驗證
- 只掃瞄官方網站內的賬戶驗證QR code;
- 如發現不尋常的登入記錄,應立即向服務供應商查詢。
-
訊息儲存
- 商戶應該避免將敏感訊息儲存在QR code內;
- 如要儲存敏感訊息,需先把資料加密,再儲存在QR code內,以防止資料被非法讀取。